THE MEDICAL IT POST

News aus IT & Gesundheitswesen – täglich kompakt und relevant

IT-Sicherheit

Passkey-Registrierung: So kapern Kriminelle sie per Voice-Phishing

15. Juli 2026Quelle: it-daily.net

Zusammenfassung

Passkeys gelten als ein entscheidender Schritt in Richtung einer passwortlosen, phishing-resistenten Zukunft. Doch gerade die Einführung solch robuster Authentifizierungsmechanismen wird zunehmend von raffinierten Hackern als Einfallstor missbraucht. Tags: #Cyber Crime | #Passkeys | #Phishing

Im Detail

Passkeys gelten als ein entscheidender Schritt in Richtung einer passwortlosen, phishing-resistenten Zukunft. Doch gerade die Einführung solch robuster Authentifizierungsmechanismen wird zunehmend von raffinierten Hackern als Einfallstor missbraucht.

Aktuelle Analysen einer groß angelegten Angriffswelle zeigen, wie eine unter dem Namen O-UNC-066 (in Sicherheitskreisen auch „Pink“ genannt) bekannte Gruppierung seit April 2026 gezielt die Passkey-Registrierungsprozesse von Microsoft 365-Kunden ins Visier nimmt.

Die Täter haben es dabei branchenübergreifend auf große Unternehmen aus den Bereichen Lebensmittel, Technologie, Gesundheitswesen, Automobil, Bauwesen und Luftfahrt abgesehen. Primäres Ziel dieser Kampagnen ist der Datendiebstahl und die anschließende Erpressung der betroffenen Organisationen.

Voice-Phishing trifft auf perfekte Vorwände

Der Erfolg dieses speziellen Angriffsvektors beruht auf einem perfiden psychologischen Hebel: der Ausnutzung legitimer Sicherheitsinitiativen des Unternehmens. Seit Mai 2026 haben Administratoren in den entsprechenden IT-Umgebungen die Möglichkeit, „Nudge“-Kampagnen zu aktivieren, die Nutzer beim regulären Login auffordern, zeitnah einen Passkey einzurichten.

Die Angreifer nutzen diese gut gemeinte und oft standardmäßig aktivierte Sicherheitsfunktion als perfekten Vorwand. Sie registrieren gezielt bösartige Domains, die das Wort „Passkey“ enthalten, und rufen die Zielpersonen direkt an (Voice-Phishing, kurz „Vishing“).

Am Telefon geben sie sich höchst professionell als interner IT-Support aus und überzeugen die Opfer davon, dass eine dringende Passkey-Registrierung erforderlich sei. Viele Anwender sind durch interne Initiativen bereits an derlei Kommunikation gewöhnt worden, deshalb schöpfen sie in der Regel keinen Verdacht und folgen den Anweisungen.

Ein interaktives Katz-und-Maus-Spiel in Echtzeit

Werden die Nutzer schließlich auf die präparierten Links geleitet, offenbart sich die enorme technische Raffinesse der Kampagne. Die Opfer landen auf zielgruppenspezifischen Subdomains, die täuschend echt die vertrauten Login-Seiten nachbilden – inklusive korrekter Firmenlogos und Hintergrundbilder, gepaart mit generischen Designelementen aus offiziellen Content-Netzwerken.

Interessanterweise handelt es sich bei dem eingesetzten Phishing-Kit nicht um einen klassischen, transparenten Adversary-in-the-Middle (AitM) Proxy, der rein automatisiert dem Abgreifen von Anmeldeinformationen dient. Stattdessen basiert die Infrastruktur auf einem manuell gesteuerten PHP-Panel.

Durch einen 1-Sekunden-Heartbeat-Polling-Mechanismus lenkt der Angreifer das Opfer nahezu in Echtzeit durch die verschiedenen Authentifizierungsphasen.

Dieser Ansatz ermöglicht eine beispiellose Flexibilität: Die gefälschte Webseite wird dynamisch an die individuellen Multi-Faktor-Authentifizierungsanforderungen (MFA) des Opfers angepasst.

Ob zeitbasierte Einmalpasswörter (TOTP), SMS-Codes oder Push-Benachrichtigungen mit Number-Matching – das System präsentiert immer exakt die Eingabemaske, die der Täter im Hintergrund für den echten Login-Versuch benötigt. Während der Anrufer das Opfer beruhigt und instruiert, werden die eingegebenen Daten im Panel des Angreifers sichtbar, der diese zeitgleich im echten Firmenportal eingibt.

Der Taschenspielertrick: Die Illusion der Passkey-Registrierung

Der kritischste und innovativste Teil des Angriffs ist die eigentliche Registrierung. Das Phishing-Kit macht sich zunutze, dass Endanwender oft nicht wissen, wie ein systemseitiger Passkey-Enrollment-Prozess auf Betriebssystemebene aussieht. Anstatt einen echten Systemdialog aufzurufen, präsentiert das Kit eine gefälschte Seite, die den Nutzer zur Speicherung eines „Recovery Keys“ auffordert.

Hierbei bedienen sich die Angreifer einer Methode, die primär aus der Kryptowährungs-Welt stammt: Sie generieren eine Liste von BIP-39-Wörtern (Seed Phrases) und lassen das Opfer diese notieren. Zur Bestätigung muss das letzte Wort manuell eingegeben werden. Technisch haben diese Phrasen absolut keine Relevanz für den regulären Registrierungsprozess. Sie dienen einem einzigen Zweck: Ablenkung.

Dieser digitale Taschenspielertrick beschäftigt das Opfer lange genug, damit der Angreifer unbemerkt seinen eigenen, von ihm kontrollierten Passkey im echten Konto des Opfers hinterlegen kann. Am Ende präsentiert das Kit eine gefälschte Bestätigungsseite.

Das Opfer geht davon aus, erfolgreich einen sicheren Passkey eingerichtet zu haben, während der Angreifer in Wahrheit eine persistente, kryptografisch gesicherte Hintertür in das Unternehmensnetzwerk eingebaut hat, für die er weder das ursprüngliche Passwort noch das MFA-Gerät des Nutzers benötigt.

Fazit

Der geschilderte Vorfall beweist eindrücklich: Die bloße Einführung starker, moderner Authentifizierungsverfahren löst nicht das Problem des Social Engineerings, sondern verlagert es lediglich auf den kritischen Registrierungsprozess. Um sich gegen diese hochentwickelten Angriffsvektoren wirksam zu wappnen, sollten Organisationen primär restriktive Enrollment-Prozesse etablieren.

Die Registrierung neuer Passkeys oder MFA-Methoden darf niemals ohne zusätzliche Verifizierung und aus unbekannten Netzwerken heraus möglich sein. Die Einrichtung muss auf vertrauenswürdige Umgebungen (z. B. das Firmenbüro oder per VPN) oder auf verifizierte, verwaltete Endgeräte beschränkt werden.

Alternativ ist ein durch den Support ausgegebener, befristeter Zugangscode für das Hinzufügen neuer Faktoren zwingend notwendig.

Flankierend zu diesen technischen Begrenzungen ist ein engmaschiges Monitoring unerlässlich, das bei Anmelde-Registrierungen unter ungewöhnlichen Bedingungen (etwa unbekannte IPs oder Standorte) sofort Alarm schlägt.

Ebenso entscheidend ist die gezielte Sensibilisierung der Belegschaft für Vishing-Taktiken: Mitarbeiter müssen verinnerlichen, wie echte Systemdialoge aussehen und dass der IT-Support niemals unaufgefordert anruft, um bei Login-Prozessen zu assistieren.

Dies erfordert zudem strikte Helpdesk-Vorgaben, bei denen Support-Anfragen ausschließlich über definierte Ticketsysteme abgewickelt und Nutzeridentitäten am Telefon stets durch sichere Rückruf-Routinen verifiziert werden.

Tags: #Cyber Crime | #Passkeys | #Phishing

Zum Originalartikel

Newsletter

Täglich die wichtigsten News aus IT & Gesundheitswesen

Jeden Tag 1–2 ausgewählte Meldungen per E-Mail – kostenlos und jederzeit abbestellbar.

THE MEDICAL IT POST

The Medical IT Post ist die führende Nachrichtenquelle für IT-Entscheider in Arztpraxen, MVZ und Kliniken in Deutschland.

Alle Artikel basieren auf öffentlich zugänglichen Informationen und wurden automatisch in eigenen Worten zusammengefasst.

© 2025 The Medical IT Post. Alle Rechte vorbehalten. | Powered by IT-ÄRZTE GmbH | Datenschutz